涉碰撞测试数据造假 丰田子公司大发汽车将停止全部车型出货
当地时间 20 日就丰田汽车公司的全资子公司大发工业株式会社的汽车安全性确认试验违规问题获悉,质量违规对象几乎扩大至全部车型,将停止国内外所有车型出货。大发接纳了调查违规的第三方委员会的报告,向国土交通省做了汇报。
调查大发工业违规问题的第三方委员会表示,新认定了 174 项违规行为。国土交通省 21 日将对大发实施进厂检查。丰田 20 日发布消息称,停止大发工业生产的“ROOMY”、“PROBOX”等丰田品牌汽车出货。
—— 共同社、日本时报、每日经济新闻
JCB 中国官网无法正常访问,显示 409 Conflict
JCB 是日本三和银行、日本信贩银行、三井银行、协和银行、大和银行等企业在1961年成立的信用卡组织。
在中国,已有 11 家银行发行 JCB 信用卡。
近日,有网友发现 JCB 中国官网无法正常访问,显示 409 Conflict。目前暂时不清楚是什么情况,但 JCB 中国的微信公众号正常工作。
相关信息: JCB CARD 、维基百科
更新:使用HTTPS访问会出错,HTTP流量正常。似乎是证书问题。由于部分浏览器当前会默认使用HTTPS访问站点因此出错。
安全研究人员发现微软 Windows Hello 指纹认证可被绕过
微软的 Windows Hello 指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞,这些传感器被企业广泛用于通过 Windows Hello 指纹身份验证保护笔记本电脑。
微软邀请安全研究人员评估指纹传感器的安全性,研究人员在 10 月份的微软 BlueHat 会议上展示了他们的研究成果。该团队选择了来自 Goodix、Synaptics 和 ELAN 的三款流行的指纹传感器作为研究对象,并在博客文章中详细介绍了构建一个可以执行中间人攻击 (MitM) 的 USB 设备的过程。这种攻击可以提供对被盗笔记本电脑的访问,甚至对无人看管的设备进行“Evil Maid”攻击。
戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 都是指纹识别攻击的受害者,只要有人以前在设备上使用过指纹身份验证,研究人员就可以绕过 Windows Hello 保护。研究人员对软件和硬件进行了逆向工程,发现了 Synaptics 传感器上一个自定义 TLS 的加密实现缺陷。绕过 Windows Hello 的复杂过程还涉及到解码和重新实现专有协议。
—— Theverge、Blackwing Intelligence
密码学家警告称美国谍报机关故意削弱旨在防止量子计算机破解的加密算法
一位著名密码学专家告诉《新科学家》杂志,美国间谍机构可能正在削弱新一代算法,而这些算法旨在防范配备量子计算机的黑客。
伊利诺伊大学芝加哥分校的丹尼尔-伯恩斯坦(Daniel Bernstein)说,美国国家标准与技术研究院(NIST)正在故意掩盖美国国家安全局(NSA)参与制定 “后量子密码学”(PQC)新加密标准的程度。他还认为,NIST 在描述新标准安全性的计算中出现了错误 —— 可能是偶然的,也可能是故意的。NIST 对此予以否认。
伯恩斯坦说:”NIST 并没有遵循旨在阻止 NSA 削弱 PQC 的程序。选择密码标准的人应该透明地、可验证地遵守明确的公开规则,这样我们就不必担心他们的动机。NIST 承诺透明,然后声称已经展示了其所有工作,但这种说法根本不成立。”
我们用来保护数据的数学问题,即使是目前最大的超级计算机也几乎无法破解。但当量子计算机变得足够可靠和强大时,它们将能够在瞬间破解这些问题。
虽然目前还不清楚这种计算机何时会出现,但美国国家标准与技术研究院自 2012 年起就开始实施一个项目,以规范新一代可抵御其攻击的算法。伯恩斯坦在2003年创造了 “后量子密码学”(post-quantum cryptography)一词来指代这类算法,他说,美国国家安全局正在积极地将秘密弱点写入新的加密标准,以便在掌握适当知识的情况下更容易破解。NIST 的标准在全球范围内使用,因此漏洞可能会产生巨大影响。
—— 新科学人 (New Scientist)
Google Chrome的密码共享功能可能仅限于家庭组成员。
Google 正致力于为 Chrome 的密码管理器开发新的功能,允许共享密码和其他凭据,但据新的报道,这个功能可能会限定在 Google 的家庭成员组中。
以前,只要使用相同的帐户登录 Chrome 的密码管理器,就可以在任何设备上访问密码,但如果想与其他帐户共享密码,除了手动复制粘贴之外,目前似乎没有其他方法。
不过,根据最新的报道,Google 正在开发新的共享功能,以更便捷地共享密码。然而,随之而来的问题是,这可能会增加错误共享给不相关用户的风险。
根据这份报道,Google正在努力开发一种在 Chrome 中共享密码的新方法,并通过限制可以发送密码的用户来防止错误共享。而且,这一功能可能会限定在 Google 家庭成员组的成员之间使用。
这个功能还在开发中,所以不知道最后效果如何,不过如果这项功能最终能与其他账户共享,那将会是很有用的,值得期待。
—— helentech
Cloudflare弃用DigiCert作为所有SSL证书的证书颁发机构
从 2023 年下半年开始,Cloudflare 将开始弃用 DigiCert 作为所有 SSL 证书产品(通用证书、高级证书、SSL for SaaS)的证书颁发机构。
这一变化不会影响 Cloudflare 目前正在使用的 DigiCert 颁发的现有证书,但会影响新的证书订单和续订。
在 DigiCert 停用后,证书将开始使用 Let’s Encrypt 或 Google Trust Services 作为颁发 CA。如果你有 CA 偏好,建议在停用日期之前采取行动,以指定首选 CA 。
—— Cloudflare 文档 、Cloudflare 社区
安全隐患:接听Telegram拨打来的电话会暴露你的IP地址
这可能泄露您的位置。有专门工具可用来提取通话人IP。
比如 Wireshark 。通过Telegram拨打电话。只要用户接听电话,就会立即开始显示数据,其中就有被呼叫用户的IP地址。
此外 tshark 也是同类的工具。
—— iyouport
有用户发现QQ邮箱的登录界面存在盲水印。这个水印处于登录框中,标记ID则直接写在HTML中,样式使得用户无法直接在页面选中该部分。它处于id为tcaptcha_transform_dy的层下方。
不了解QQ设置该水印的目的是什么。盲水印是一种肉眼不可见的水印方式,但通过特殊技术手段可以看到,近年来被广泛用于追踪截图用户。
马斯克称,从4月15日开始,只有经过验证的帐户才能出现在“为您推荐”信息流中。
马斯克说,这是解决高级 AI 机器人群接管问题的唯一现实方法。 否则,这将是一场无望的失败之战。
出于同样的原因,投票将需要验证。
与此同时,他还说:如果机器人账户遵循服务条款且不冒充人类,那么拥有经过验证的机器人账户是可以的。
编注:介于马斯克此前宣称要停止免费认证,因此这里他所说的认证可能是需要订阅Blue会员。
Telegram 第三方客户端将不能使用短信登录与注册
Telegram 通知开发者,从 18.02.2023 开始,登录第三方应用程序的用户将只能通过 Telegram 接收登录代码。 第三方客户端将不能请求短信来登录应用程序。
该版本将在世界标准时间 2023 年 2 月 18 日 13:00 上线。
Telegram 认为这一变化不会对用户产生重大影响,因为根据研究,绝大多数第三方应用程序用户也使用官方 Telegram 应用程序。
使用第三方客户端的设备必须通过 SafetyNet 或 Play Integrity 认证进行登录。